The processing power of computers keeps growing, helping users to solve increasingly complex problems faster. A side effect is that passwords that were impossible to guess just a few years ago can be cracked by hackers within mere seconds in 2024. For example, the RTX 4090 GPU is capable of guessing an eight-character password consisting of same-case English letters and digits, or 36 combinable characters, within just 17 seconds.

Our study of resistance to brute-force attacks found that a large percentage of passwords (59%) can be cracked in under one hour.

How passwords are typically stored

To be able to authenticate users, websites need a way to store login-password pairs and use these to verify data entered by the user. In most cases, passwords are stored as hashes, rather than plaintext, so that attackers cannot use them in the event of a leak. To prevent the password from being guessed with the help of rainbow tables, a salt is added before hashing.

Although hashes are inherently irreversible, an attacker with access to a leaked database can try to guess the passwords. They would have an unlimited number of attempts, as the database itself has no protection against brute-forcing whatsoever. Ready-made password-guessing tools, such as hashcat, can be found online.

Methodology

Our study looked at 193 million passwords found freely accessible on various dark web sites. Kaspersky does not collect or store user passwords. More details are available here and here.

We estimated the time it takes to guess a password from a hash using brute force and various advanced algorithms, such as dictionary attacks and/or enumeration of common character combinations. By dictionary we understand here a list of character combinations frequently used in passwords. They include, but are not limited to real English words.

Brute force attacks

The brute-force method is still one of the simplest and most straightforward: the computer tries every possible password option until one works. This is not a one-size-fits-all approach: enumeration ignores dictionary passwords, and it is noticeably worse at guessing longer passwords than shorter ones.

We analyzed the brute-forcing speed as applied to the database under review. For clarity, we have divided the passwords in the sample into patterns according to the types of characters they contain.

• a: the password contains only lowercase or only uppercase letters.
• aA: the password contains both lowercase and uppercase letters.
• 0: the password contains digits.
• !: the password contains special characters.

The time it takes to crack a password using the brute-force method depends on the length and the number of character types. The results in the table are calculated for the RTX 4090 GPU and the MD5 hashing algorithm with a salt. The speed of enumeration in this configuration is 164 billion hashes per second. The percentages in the table are rounded.

The most popular type of passwords (28%) includes lowercase and uppercase letters, special characters and digits. Most of these passwords in the sample under review are difficult to brute-force. About 5% can be guessed within a day, but 85% of this type of passwords take more than a year to work out. The crack time depends on the length: a password of nine characters can be guessed within a year, but one that contains 10 characters, more than a year.

Passwords that are least resistant to brute-force attacks are the ones that consist of only letters, only digits or only special characters. The sample contained 14% of these. Most of them can be cracked within less than a day. Strong letter-only passwords start at 11 characters. There were no strong digit-only passwords in the sample.

Smart brute-force attacks

As mentioned above, brute force is a suboptimal password-guessing algorithm. Passwords often consist of certain character combinations: words, names, dates, sequences (“12345” or “qwerty”). If you make your brute-force algorithm consider this, you can speed up the process:

• bruteforce_corr is an optimized version of the brute-force method. You can use a large sample to measure the frequency of a certain password pattern. Next, you can allocate to each variety a percentage of computational time that corresponds to its real-life frequency. Thus, if there are three patterns, and the first one is used in 50% of cases, and the second and third in 25%, then per minute our computer will spend 30 seconds enumerating pattern one, and 15 seconds enumerating patterns two and three each.
• zxcvbn is an advanced algorithm for gauging password strength. The algorithm identifies the pattern the password belongs to, such as “word, three digits” or “special character, dictionary word, digit sequence”. Next, it calculates the number of iterations required for enumerating each element in the pattern. So, if the password contains a dictionary word, finding it will take a number of iterations equal to the size of the dictionary. If a part of the pattern is random, it will have to be brute-forced. You can calculate the total complexity of cracking the password if you know the time it takes to guess each component of the pattern. This method has a limitation: successful enumeration requires specifying a password or assuming a pattern. However, you can find the popularity of patterns by using stolen samples. Then, as with the brute-force option, allocate to the pattern an amount of computational time proportional to its occurrence. We designate this algorithm as “zxcvbn_corr”.
• unogram is the simplest language algorithm. Rather than requiring a password pattern, it relies on the frequency of each character, calculated from a sample of passwords. The algorithm prioritizes the most popular characters when enumerating. So, to estimate the crack time, it is enough to calculate the probability of the characters appearing in the password.
• 3gram_seq, ngram_seq are algorithms that calculate the probability of the next character depending on n-1 previous ones. The proposed algorithm starts enumerating one character, and then sequentially adds the next one, while starting with the longest and most frequently occurring n-grams. In the study, we used n-grams ranging from 1 to 10 characters that appear more than 50 times in the password database. The 3gram_seq algorithm is limited to n-grams up to and including three characters long.
• 3gram_opt_corr, ngram_opt_corr is an optimized version of n-grams. The previous algorithm generated the password from the beginning by adding one character at a time. However, in some cases, enumeration goes faster if you start from the end, from the middle or from several positions simultaneously. *_opt_* algorithms check the varieties described above for a specific password and select the best one. However, in this case, we need a password pattern that allows us to determine where to start generating from. When adjusted for different patterns, these algorithms are generally slower. Still, they can provide a significant advantage for specific passwords.

Also, for each password, we calculated a best value: the best crack time among all the algorithms used. This is a hypothetical ideal case. To implement it, you will need to “guess” an appropriate algorithm or simultaneously run each of the aforementioned algorithms on a GPU of its own.

Below are the results of gauging password strength by running the algorithms on an RTX 4090 GPU for MD5 with a salt.

The bottom line is, when using the most efficient algorithm, 45% of passwords in the sample under review can be guessed within one minute, 59% within one hour, and 73% within a month. Only 23% of passwords take more than one year to crack.

Importantly, guessing all the passwords in the database will take almost as much time as guessing one of them. During the attack, the hacker checks the database for the hash obtained in the current iteration. If the hash is in the database, the password is marked as cracked, and the algorithm moves on to working on the others.

The use of dictionary words reduces password strength

To find which password patterns are most resistant to hacking, we calculated the best value for an expanded set of criteria. For this purpose, we created a dictionary of frequently used combinations of four or more characters, and added these to the password pattern list.

• dict: the password contains one or more dictionary words.
• dict_only: the password contains only dictionary words.

The majority (57%) of the passwords reviewed contained a dictionary word, which significantly reduced their strength. Half of these can be cracked in less than a minute, and 67% within one hour. Only 12% of dictionary passwords are strong enough and take more than a year to guess. Even when using all recommended character types (uppercase and lowercase letters, digits and special characters), only 20% of these passwords proved resistant to brute-forcing.

It is possible to distinguish several groups among the most popular dictionary sequences found in passwords.

• Names: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”;
• Popular words: “forever”, “love”, “google”, “hacker”, “gamer”;
• Standard passwords: “password”, “qwerty12345”, “admin”, “12345”, “team”.

Non-dictionary passwords comprised 43% of the sample. Some were weak, such as those consisting of same-case letters and digits (10%) or digits only (6%). However, adding all recommended character types (the aA0! pattern) makes 76% of these passwords strong enough.

Takeaways

Modern GPUs are capable of cracking user passwords at a tremendous speed. The simplest brute-force algorithm can crack any password up to eight characters long within less than a day. Smart hacking algorithms can quickly guess even long passwords. These use dictionaries, consider character substitution (“e” to “3”, “1” to “!” or “a” to “@”) and popular combinations (“qwerty”, “12345”, “asdfg”).

This study lets us draw the following conclusions about password strength:

• Many user passwords are not strong enough: 59% can be guessed within one hour.
• Using meaningful words, names and standard character combinations significantly reduces the time it takes to guess the password.
• The least secure password is one that consists entirely of digits or words.

To protect your accounts from hacking:

• Remember that the best password is a random, computer-generated one. Many password managers are capable of generating passwords.
• Use mnemonic, rather than meaningful, phrases.
• Check your password for resistance to hacking. You can do this with the help of Password Checker, Kaspersky Password Manager or the zxcvbn
• Make sure your passwords are not contained in any leaked databases by going to haveibeenpwned. Use security solutions that alert users about password leaks.
• Avoid using the same password for multiple websites. If your passwords are unique, cracking one of them would cause less damage.

A cura di Antonio Madoglio, SE Director Italy di Fortinet

Nel corso degli anni, all’interno delle organizzazioni si sono sedimentate molteplici soluzioni pensate per difenderle secondo le diverse esigenze di sicurezza informatica; esse, tuttavia, non sempre dialogano tra di loro e questo rende più difficile la gestione e incrementa la complessità nella correlazione delle informazioni in caso di incidenti. Per questo motivo le aziende stanno passando dall’adozione di singoli prodotti best-of-breed a un approccio di tipo piattaforma: in questo modo, diventa possibile semplificare la gestione del network, aumentare l’efficacia e ridurre, di conseguenza, anche i costi. Questa scelta è ancor più necessaria se si considera che da qualche anno a questa parte, grazie alla diffusione dello smart working, i dipendenti sono abituati a lavorare da luoghi che non coincidono necessariamente con l’ufficio, ampliando così i margini del perimetro aziendale.
Antonio Madoglio, SE Director Italy di Fortinet
Possiamo iniziare la disamina sul tema con una semplice domanda: perché esistono ancora singoli prodotti che rispondono a esigenze specifiche? La risposta risiede nella natura stessa della cybersecurity e delle infrastrutture, che è di per sé dinamica. Dal momento che il panorama delle minacce informatiche è in costante evoluzione, è necessario creare difese che siano al passo con i tempi, il che comporta sostanzialmente l’ideazione di soluzioni sempre nuove per affrontare i rischi e le opportunità sfruttate dai cybercriminali.

È assolutamente sensato combinare più componenti singoli e di uso comune in un’unica soluzione, andando così a semplificare le operation e integrare le funzioni critiche. Affinché tutto ciò avvenga nel modo adeguato è necessaria però una profonda interoperabilità tra gli elementi; avere elementi diversi che condividono lo stesso sistema operativo comporta di fatto un notevole vantaggio, ben diverso dal semplice tentativo di unire tra loro delle tecnologie di fatto progettate per funzionare come stand-alone. Senza una base operativa comune qualsiasi interoperabilità sarebbe solo superficiale; è il caso di quelle aziende che, nella fretta di proporsi sul mercato, acquistano singoli prodotti di altri vendor. Tuttavia, invece di prendersi il tempo necessario per integrare completamente le loro funzioni e operation in un tool unificato, si limitano ad apporre il loro nome e ad aggiungere l’etichetta “piattaforma” al pacchetto che ne risulta, rinunciando così agli impegni della propria roadmap.

Un altro tema di particolare importanza è quello dei costi operativi: tutte le organizzazioni che si trovano a dover gestire tante tecnologie diverse tra loro vorrebbero ridurli, aumentando nel contempo l’efficacia della propria postura di sicurezza. Un approccio basato su una piattaforma di cybersecurity univoca può consentire il raggiungimento di questo obiettivo integrando i singoli prodotti, riducendo le spese generali e consentendo l’automazione nativa su più soluzioni.

Tuttavia, non tutte le proposte sono uguali e non tutti i fornitori sono in grado di supportare al meglio i business nel loro percorso; molte soluzioni, che vengono proposte dai vendor come altamente interoperabili, sono in realtà agglomerati composti da elementi molto distinti tra loro, con sistemi operativi, linguaggi di programmazione, strutture dati, API e console di gestione diversi – riuniti con una modalità di collaborazione molto superficiale. Quando si decide di utilizzare una piattaforma è pertanto assolutamente necessario scegliere adeguatamente il proprio fornitore. La decisione presa potrebbe, infatti, avere un impatto significativo sull’organizzazione.

Fortinet può essere utile alle realtà che desiderino abbandonare l’uso esclusivo di singoli prodotti in quanto è stata fondata oltre vent’anni fa proprio sul principio della convergenza tra networking e sicurezza, con una particolare attenzione al concetto di “security by design”. La piattaforma Security Fabric è composta dal portafoglio più integrato e aperto del settore, supportato da un unico sistema operativo (FortiOS), un agente unificato (FortiClient), una console di gestione (FortiManager), un data lake (FortiAnalyzer), API aperte e integrazione con oltre 500 prodotti di terze parti, compresi quelli dei suoi concorrenti. Inoltre, FortiOS è in grado di supportare oltre trenta diverse applicazioni di secure networking e cybersecurity, quattordici delle quali sono accelerate dalle SPU FortiASIC personalizzate.

I clienti possono decidere di adottare in toto la proposta di Fortinet Security Fabric oppure utilizzare gli elementi di cui è composta come base solida per iniziare a incorporare piattaforme funzionali o suite nella propria infrastruttura già esistente. Un vero e proprio viaggio nel rafforzamento dell’infrastruttura aziendale contro gli attacchi, che può avvenire in modo graduale, all’insegna della flessibilità e in base alle esigenze delle singole realtà aziendali.

L'articolo L’approccio di piattaforma: un viaggio che le aziende devono poter affrontare in sicurezza proviene da il blog della sicurezza informatica.

In the monthly Ladybird Browser update video which we’ve placed below, SerenityOS founder [Andreas Kling] announced an interesting development. The browser has been forked from the OS that has been its progenitor, and both projects will now proceed separately. This frees the browser from the SerenityOS insistence on avoiding external libraries, and allows it to take advantage of stable, fast, and mature open source alternatives. This is already paying dividends in compatibility and speed, and is likely to lead further towards a usable everyday browser as time goes by.

As the world of fully-featured web browser engines has contracted from a number of different projects to little more than Google’s Blink and Mozilla’s Gecko, Ladybird has found itself in an unexpected position. It is vital that the browser market retains some competition and does not become a Google monoculture, so while it might not seem so at first glance, the news of Ladybird going alone has the potential to be one of the most far-reaching open source stories of the year.

If you’d like to try Ladybird you’ll have to get your hands slightly dirty and build it yourself, but we’d expect ready-built versions to appear in due course. We took a look at an earlier version of Ladybird last year, as well as SerenityOS itself.

youtube.com/embed/cbw0KrMGHvc?…

[ZXGuesser] has pulled off a true feat of Meccano engineering: building a Meccano Hellschreiber machine. The design is a close replica of the original Siemens Feld-Hell machine as documented here. What is Hellschreiber, you might ask? It’s a very neat method of sending written messages over the air by synchronizing a printing wheel on the receiving end with pulses generated on the transmitter. By quickly moving the print wheel up and down, arbitrary figures can be printed out. If you want to learn more about Hellschreiber, check out this excellent Hackaday post from almost a decade ago!

The Mastodon thread linked above goes into more detail about the difficulty in building this behemoth — and the slight regret of sticking with the authentic QWERTZ keyboard layout! In order to use the Hellschreiber mode, you have to keep up a steady rhythm of typing at about 2.5 characters per second, otherwise, the receiving end will see randomly spaced gaps between each letter. So while having to type at a steady speed [ZXGuesser] also had to work with a slightly different keyboard layout. Despite this difficulty, some very good quality output was generated!

Incredibly, the output looks just like the output from the original, century-old design. We think this is an absolutely incredible accomplishment, and we hope [ZXGuesser] doesn’t follow through on disassembling this amazing replica — or if they do, we hope it’s documented well enough for others to try their hand at it!

Thanks [BB] for the tip!

Recentemente, un attore malintenzionato ha presumibilmente diffuso un database contenente informazioni sui dipendenti di Electronic Arts (EA) risalente al 2022. La notizia della fuga di dati è stata confermata dall’attore stesso, che ha spiegato le motivazioni dietro la sua decisione di rendere pubblici i dati.

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’.

Le Motivazioni del Leaker

L’attore malintenzionato ha dichiarato: “Ho recentemente notato che è stato creato un nuovo account usa e getta per cercare di vendere questa violazione dei dati, ma è già passata di mano (4-5 persone). Poiché stanno affermando che vogliono venderla solo una volta a un unico acquirente, la divulgherò io stesso. Non so come questa persona abbia ottenuto il database, ma non era mai destinato ad essere venduto.”

Questa affermazione evidenzia un certo grado di disappunto nei confronti delle azioni di terzi che stavano tentando di monetizzare la violazione. L’attore ha inoltre aggiunto: “Non ho voglia di scrivere i dettagli della violazione, quindi sto rubando le informazioni da un altro post.”

I Dati Compromessi

Il database divulgato contiene un’ampia varietà di informazioni, suddivise in diversi file. Ecco una panoramica dei dati compromessi:

• 34.993 record di utenti: comprendenti nome completo, email di lavoro, numero di telefono, posizione dell’ufficio e gruppi di lavoro.
• 1.105 applicazioni registrate in Microsoft Active Directory: con URL e configurazioni.
• 64.243 gruppi
• 8.073 contatti

Questi file rappresentano una miniera d’oro di informazioni per chiunque voglia sfruttare i dati per attività illecite, come il phishing o altre forme di attacchi informatici.

Conclusione

La violazione dei dati di EA rappresenta un serio campanello d’allarme per tutte le aziende, sottolineando l’importanza di adottare misure di sicurezza robuste per proteggere le informazioni sensibili. Mentre EA affronta le conseguenze di questa fuga di dati, l’intero settore deve riflettere sulla necessità di rafforzare la propria resilienza contro le minacce informatiche.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actors Diffonde un Database dei Dipendenti della Electronic Arts (EA) del 2022 proviene da il blog della sicurezza informatica.

At the request of Pirate Party MEP Patrick Breyer, EU Internal Market Commissioner Breton has commented on manufacturers who equip their products with “kill switches”. This question was prompted by a recent case in which the Polish train manufacturer NewAg was found to have installed “kill switches” in several electric multiple units, which switch off the train’s power supply and compressors under certain conditions (location or operating time). Among other things, the manufacturer implemented the switch-off function to prevent the trains from being repaired by competitors and also to prevent the train software from being analysed. In his response, EU Commissioner Breton admits that existing or planned EU rules on the right to repair are largely limited to the protection of consumers and do not apply to businesses.

Patrick Breyer comments:

“The practice by some manufacturers to prevent independent companies from repairing and servicing products is unacceptable. The EU should put clear rules in place to prevent such abuses and protect the rights of users, as well as the competitiveness of independent repair services. The right to repair should also apply to business customers.

However, a mere right to repair falls short of what is needed in the digital era. Users must be given full control over the technology they use in their daily lives. We need a right to modify, customise and improve our legally acquired devices. The fact that copyright law currently prohibits this is disempowering and invites abuse, as the Polish case shows.”

A similar problem is also observed with computer games, where manufacturers make popular games unusable at will. In collaboration with the gamer initiative “Stop killing games”, the pirate party is calling for cultural protection of video games.

patrick-breyer.de/en/stopkilli…

Il quotidiano di sinistra tedesco ND ha pubblicato recentemente un articolo che racconta l’esperienza dei lavoratori del collettivo di fabbrica della ex GKN di Campi Bisenzio (Firenze), licenziati nel luglio 2021 e da allora in assemblea permanente, a partire da un’iniziativa di solidarietà alla lotta dei lavoratori promossa in Germania da Tobi Rosswog, un attivista tedesco nella lotta per il clima e per la trasformazione dell’intera industria automobilistica: https://www.nd-aktuell.de/artikel/1183320.konversion-lastenrad-aus-besetzter-fabrik-auf-deutschlandtour.html .

La didascalia dell'immagine dice: "Una cargo-bike della fabbrica occupata in giro per la Germania"

Tobi Rosswog usando una cargo-bike elettrica prodotta dal collettivo di fabbrica della ex GKN ha fatto un giro di sette giorni, per alcune città tedesche, partendo da Wolfsburg, la città della Volkswagen per arrivare a Stoccarda, la città della Mercedes Benz e l’ha chiamato “Konversiontour”, in questo suo tour è stato accompagnato da Anton Benz, un giornalista di ND.
Questo è il link alla home page del suo sito: tobi-rosswog.de/

Il collettivo di fabbrica della ex Gkn dopo il licenziamento collettivo, si è costituito in cooperativa, ha lanciato una campagna di azionariato popolare e ha presentato un piano industriale che prevede una riconversione della fabbrica per la produzione di cargo-bike e di pannelli solari, al momento questo piano non ha ricevuto alcuna risposta dalle autorità di governo e dagli amministratori regionali.

Quando Tobi Rosswog parte per il suo tour (metà giugno), i lavoratori dell’ex GKN sono già da 165 giorni senza stipendio, ogni sera l’attivista arriva in una città diversa, lo aspetta un incontro assemblea sulla situazione della fabbrica di Firenze, fa provare agli interessati la cargo-bike e raccoglie i pre-ordini, in una settimana ne ha raccolti circa 25. Il denaro è destinato a finanziare l'ulteriore produzione di cargo bike, e in alcuni casi può essere utilizzato anche per pagare gli stipendi. Dopo una settimana, due compagni sostituiscono Rosswog e girano la Germania per un'altra settimana.
Qui sotto l'immagine di due cargo-bike prodotte dalcollettivodi fabbrica,lo slogan dilangio è "La cargo-bike con la lotta attorno".

La cargo -bike con la lotta attorno

La cargo - bike si può pre-ordinare anche in Italia: ecco la pagina del sito del collettivo di fabbrica da cui è possibile farlo:
insorgiamo.org/cargo-bike/

Qui sotto invece una foto dall’incontro tenuto a Braunschweig, città sede di una delle fabbriche della VolksWagen, lo striscione dice: "Conversione della ex GKN subito. La lotta per il lavoro è lotta per il clima".

Foto di gruppo dell'incontro di Braunschweig

Un grosso grazie a Tobi Rosswog e a ND 🙂✊

#GKNFirenze #lavoro #CargoBike #solidarietà #Germania #MobiitàSostenibile #CrisiClimatica
@nd.Aktuell @macfranc @lgsp

@Notizie dall'Italia e dal mondo

Un articolo apparso sul New York Times (Camicie nere e bandiere vietate: gli ultras spingono la politica a Euro 2024; nytimes.com/2024/06/26/world/e…) sui gruppi di tifosi ultras politicizzati presenti ai Campionati Europei di calcio in corso in Germania, ci fornisce l’occasione di illustrare aspetti di collaborazione tra forze di polizia in manifestazioni sportive, come quella che si sta disputando in vari stadi di calcio in città tedesche.
Come è evidente particolare rilevanza assume il coordinamento tra Forze di polizia di Stati diversi allorquando sono organizzate manifestazioni sportive che per loro caratteristiche richiamano nel luogo di svolgimento, suoi immediati dintorni e vie che a questi adducono, appassionati e supporters da varie Nazioni.
A riguardo nel 2021 l'Organizzazione delle Nazioni Unite (#ONU) ha rilasciato la Guide on the Security of Major Sporting Events: Promoting Sustainable Security and Legacies.
Nella Guida si legge che la cooperazione e la sensibilizzazione internazionali garantiscono una consultazione regolare tra i servizi nazionali di intelligence e sicurezza e i partner internazionali, compresi i Paesi con gruppi di tifosi. La condivisione delle informazioni supporta la collaborazione delle parti interessate stabilendo piattaforme sicure e conformi per la condivisione dei dati e piattaforme specifiche per eventi per la raccolta e l'analisi delle informazioni sulla sicurezza. I canali sicuri offerti dalle forze dell'ordine internazionali e regionali vengono utilizzati per scambiare informazioni operative con altri paesi.
L’esempio più classico che sovviene è quello di competizioni calcistiche che vedano affrontarsi sia compagini rappresentanti le varie Nazioni (campionati mondiali, continentali, eccetera) sia squadre così dette di club (in Europa si pensi alla Champions’ League e manifestazioni similari). Inoltre, accade che la partita finale di tornei internazionali venga ospitata da uno Stato “terzo”, che dovrà sobbarcarsi nel proprio territorio il controllo dei tifosi affluenti.

L’esempio calcistico non è scelto a caso: è in quel contesto che è nato e si è sviluppato il fenomeno sociale dell’hooliganismo, il cui apice più tragico è la così detta “strage dell'Heysel”, occorsa il 29 maggio 1985, poco prima dell'inizio della finale di Coppa dei Campioni di calcio tra Juventus e Liverpool allo stadio Heysel di Bruxelles, in cui morirono 39 persone (di cui 32 italiane), e ne rimasero ferite oltre 600. Il tragico evento è imputabile ai tifosi inglesi più accesi, che cominciarono a spingersi verso il settore occupato dai tifosi italiani non organizzati, sfondando le reti divisorie e costringendoli ad arretrare sino ad un muro di contenimento, tanto che alcuni si lanciarono nel vuoto per evitare di rimanere schiacciati, altri cercarono di scavalcare gli ostacoli ed entrare nel settore adiacente, altri ancora si ferirono contro le recinzioni. Il muro crollò per il troppo peso e numerose persone rimasero schiacciate, calpestate dalla folla e uccise nella corsa verso una via d'uscita, per molti rappresentata da un varco aperto verso il campo da gioco.
Secondo il Cambridge Dictionary hooligan è “una persona violenta che combatte o provoca danni in luoghi pubblici”, e l’hooliganismo è la manifestazione di questo comportamento. In Inghilterra nell’aprile 1894, fu processato il diciannovenne Charles Clarke per l’aggressione a un agente di polizia. Il quotidiano londinese Daily News descrisse l’imputato come “il capo di una banda di giovani nota con il nome Hooligan Boys”. Nel 1886 a seguito di una rissa tra i sostenitori della squadra di football del Preston contro i rivali del Queens Park era stato sciaguratamente inaugurato il football hooliganism inteso come la violenza competitiva e reciproca tra gruppi diversi di sostenitori organizzati delle compagini calcistiche, con scazzottate e violenze prevalentemente contro arbitri e giocatori.
Se in occasione dell’incontro di calcio Liverpool–Juventus del 29 maggio 1985 gli hooligans furono gli esecutori materiali, le autorità sportive locali ed europee non furono esenti da colpe per la discutibile scelta dell’impianto e la gestione complessiva dell’ordine pubblico.

Per comprendere la portata del fenomeno basti pensare a quanto poi avvenne nel 2016 nel corso dei Campionati europei di calcio ospitati dalla Francia, allorquando emerse che a capo dei supporters a seguito della squadra della Russia vi era Alexander Shpryginm, figlio di un leader storico dell'estrema destra e teorizzatore della fusione tra calcio e politica: “i tifosi sono un potente strumento di forza del potere. Lo Stato ha da tempo capito che quelle dei tifosi sono le associazioni più di massa e più patriottiche” e propugnatore di quello che viene definito “hooliganismo militare”, poiché gli hooligans russi sono indicati come partecipanti alla prima fase del conflitto del Donbass (regione, come noto, contesa dalla Russia all’Ucraina mediante un conflitto armato).

L’episodio dell’Heysel tra le altre conseguenze ebbe quello di far scaturire la “Convenzione europea sulla violenza e i disordini degli spettatori durante le manifestazioni sportive, segnatamente nelle partite di calcio”, redatta sotto l'egida del Consiglio d'Europa, firmata a Strasburgo il 19 agosto 1985, ratificata da 42 Paesi, tra i quali l’Italia, ove è entrata in vigore il 1° gennaio 1986.
La Convenzione prevede in particolare, per quanto qui ci interessa, di “facilitare una stretta cooperazione e uno scambio di informazioni appropriate tra le forze di polizia delle varie località interessate o che potrebbero esserlo” nonché “promuovere l’organizzazione responsabile e il comportamento corretto dei club di tifosi e la nomina al loro interno di agenti incaricati di facilitare il controllo e l’informazione degli spettatori durante le partite e di accompagnare i gruppi di tifosi che si recano alle partite in trasferta”.

Inoltre, sempre nell’ambito di Convenzioni del Consiglio d’Europa, l’Italia è firmataria di quella più recente relativa a “un approccio integrato in materia di sicurezza fisica, sicurezza pubblica e servizi in occasione di incontri calcistici e di altre manifestazioni sportive” (ratificata il 18 novembre 2020 ed entrata in vigore il 1° gennaio 2021). La Convenzione si basa su tre pilastri (o tre “S”): quello della sicurezza fisica, quello riferito alla sicurezza pubblica e l’ultimo ai servizi. Come si legge nella sintesi rilasciata in lingua italiana : “la nozione di sicurezza fisica comprende tutte le misure volte a garantire la salute e il benessere delle persone e a tutelare la loro incolumità in occasione di eventi sportivi. Tali misure riguardano le infrastrutture e l’omologazione degli stadi, i piani di emergenza o le disposizioni relative al consumo di alcool. Proteggono inoltre gli spettatori nel loro tragitto verso lo stadio e nei luoghi pubblici di proiezione degli eventi al di fuori degli stadi. La nozione di sicurezza pubblica comprende tutte le misure tese a prevenire, impedire e sanzionare qualsiasi atto violento o altri disordini in occasione di partite di calcio o di altre manifestazioni sportive, all’interno o al di fuori dello stadio. Includono in particolare la valutazione del rischio, la cooperazione tra le forze di polizia e altri enti competenti e l’imposizione di sanzioni. Infine, la nozione di servizi comprende tutte le misure destinate a rendere gli incontri calcistici e le altre manifestazioni sportive piacevoli e accoglienti per tutti, all’interno degli stadi, nonché a far sentire a proprio agio e benvenuti gli spettatori e i tifosi negli spazi pubblici in cui si riuniscono prima, durante e dopo le partite”.
In particolare, l’articolo 11 è dedicato alla cooperazione internazionale. L’articolo istituisce un Punto nazionale d’informazione sul calcio (PNIC), che rappresenta “una fonte nazionale di conoscenze riguardanti le operazioni di polizia correlate a incontri calcistici, le dinamiche dei tifosi e i rischi derivanti per la sicurezza fisica e la sicurezza pubblica”.

Il Consiglio dell’Unione Europea, che come ben sappiamo è organo decisionale essenziale dell'UE, nel 2016 ha adottato la Risoluzione concernente un manuale aggiornato di raccomandazioni per la cooperazione internazionale tra forze di polizia e misure per prevenire e combattere la violenza e i disordini in occasione delle partite di calcio di dimensione internazionale alle quali è interessato almeno uno Stato membro («manuale UE per il settore calcistico») , mediante la quale chiede agli Stati membri di continuare a rafforzare ulteriormente la cooperazione tra forze di polizia per quanto riguarda le partite di calcio (e, se del caso, altri eventi sportivi) di dimensione internazionale; a tal fine, il manuale aggiornato, che fornisce esempi di metodi di lavoro fortemente raccomandati, si chiede che sia messo a disposizione e adottato dalle autorità di contrasto coinvolte nella tutela dell'ordine pubblico in occasione di partite di calcio di dimensione internazionale.

In Italia sin dal 1995 presso Il Dipartimento di Pubblica Sicurezza è stato istituito l’Osservatorio Nazionale sulle Manifestazioni Sportive, presieduto dal Direttore dell’Ufficio Ordine Pubblico, con funzioni di monitoraggio ed analisi di ogni singolo incontro e di indirizzo per le Amministrazioni e gli Enti territoriali. Strumento normativo a disposizione è la Legge 13 dicembre 1989, n. 401 recante “Interventi nel settore del giuoco e delle scommesse clandestine e tutela della correttezza nello svolgimento di competizioni agonistiche”, nel tempo aggiornata ed opportunamente integrata.
Il 30 aprile 2002 nell’ambito dell’Ufficio Ordine Pubblico del Dipartimento fu istituito il Centro Nazionale di Informazione sulle Manifestazioni Sportive, che centralizza la raccolta e l’analisi dei dati sul fenomeno della violenza in occasione di manifestazioni sportive a livello nazionale e si inserisce nella rete europea di Cooperazione Internazionale di Polizia per il contrasto dell’hooliganismo.
Con riguardo da ultimo al Campionato di calcio in corso in Germania, piace sottolineare l’iniziativa italiana del “Consolato mobile”, ovvero una postazione consolare itinerante, allestita su un Ufficio mobile della #PoliziadiStato. Si è spostato nelle città della Germania per fornire assistenza agli italiani che seguono la Nazionale. È nato dalla collaborazione tra #Farnesina e #PoliziadiStato, in accordo naturalmente con la Polizia tedesca ospitante.

#ordinepubblico #europeidicalcio #OsservatorioNazionalesulleManifestazioniSportive